Verfügbarkeitsklasse 4 nach DIN EN 50600: Redundanz, Ausfallsicherheit und Resilienz

Verfügbarkeitsklasse 4 nach DIN EN 50600: Redundanz, Ausfallsicherheit und Resilienz

Die digitale Leistungsfähigkeit und wirtschaftliche Stabilität moderner Unternehmen hängen heute maßgeblich davon ab, dass ihre IT-Systeme jederzeit zuverlässig funktionieren. Vor diesem Hintergrund hat sich die europäische Normenreihe DIN EN 50600 als zentraler Maßstab für Planung, Bau und Betrieb von Rechenzentren etabliert.

Der vorliegende Artikel widmet sich der Verfügbarkeitsklasse 4 nach DIN EN 50600, der höchsten Stufe der Ausfallsicherheit. Diese steht für maximale Betriebssicherheit und wird durch konsequente Redundanz, vollständige Fehlertoleranz und die konsequente Vermeidung von systemischen Single Points of Failure erreicht.

Die Analyse durchdringt die komplexe elektrotechnische Struktur, die notwendig ist, um die Verfügbarkeitsklasse 4 nach DIN EN 50600 zu realisieren, angefangen bei der redundanten Hochspannungseinspeisung über die kritische Rolle der Netzersatzaggregate (NEA) bis hin zur Feinverteilung am Server-Rack. Ein besonderer Fokus liegt auf der Implementierung der 2N-Redundanz bei unterbrechungsfreien Stromversorgungen (USV) und deren Interdependenz mit modernen Brandschutzkonzepten der Schutzklasse 4.

Darüber hinaus wird eine differenzierte Abgrenzung zum Tier-IV-Standard des Uptime Institute vorgenommen und der technische Mehrwert einer Erweiterung auf 2N+1 evaluiert. Ziel ist es, ein unverzichtbares Kompendium für Planer und Betreiber bereitzustellen, welches die theoretischen Anforderungen der Norm in praxistaugliche Engineering-Konzepte übersetzt.

Das Wichtigste zuerst:

  • Die digitale Handlungsfähigkeit sowie die wirtschaftliche Stabilität moderner Unternehmen sind in erheblichem Maße von der durchgängigen Verfügbarkeit ihrer Datenverarbeitungssysteme abhängig.
  • Die europäische Normenreihe DIN EN 50600 stellt den maßgeblichen Referenzrahmen für Planung, Errichtung und Betrieb von Rechenzentren dar.
  • Die Verfügbarkeitsklasse 4 repräsentiert die höchste Anforderungsebene hinsichtlich Ausfallsicherheit.
  • Charakteristisch sind eine vollständige Fehlertoleranz sowie eine durchgängige systemische Redundanz aller kritischen Infrastrukturen.
  • Systemische Single Points of Failure sind konsequent auszuschließen.
  • Ziel ist eine maximale infrastrukturelle Resilienz und die Sicherstellung eines unterbrechungsfreien Betriebs selbst bei Störungen, Ausfällen oder Wartungsmaßnahmen.

1. Einführung: Der Paradigmenwechsel in der Rechenzentrumsnormierung

1.1 Vom Flickenteppich zum europäischen Standard

Vor der Einführung der DIN EN 50600 war die Landschaft der Rechenzentrumsnormen in Europa durch eine Vielzahl nationaler Richtlinien, Best Practices und herstellerspezifischer Whitepapers fragmentiert. Planer orientierten sich oft an US-amerikanischen Standards wie der TIA-942 oder den Definitionen des Uptime Institute, die jedoch nicht immer kompatibel mit europäischen Bauvorschriften und Sicherheitsphilosophien waren. Mit der DIN EN 50600 wurde ein harmonisiertes Regelwerk geschaffen, das einen ganzheitlichen Ansatz verfolgt. Im Gegensatz zu reinen Managementnormen wie der ISO/IEC 27001, die Prozesse in den Mittelpunkt stellen, definiert die DIN EN 50600 harte technische Anforderungen an die physische Hülle, die Energieversorgung und die Klimatisierung.

Die Verfügbarkeitsklasse 4 nach DIN EN 50600 repräsentiert dabei die Spitze des technisch Machbaren. Sie ist nicht nur eine Anforderung an die Hardware, sondern eine Philosophie der „Defense in Depth“, bei der jede Ebene der Infrastruktur so gestaltet ist, dass sie das Versagen der anderen kompensieren kann. Die Norm erkennt an, dass technische Defekte unvermeidbar sind, und fordert daher Systeme, die diese Defekte ohne Betriebsunterbrechung absorbieren.

1.2 Der holistische Ansatz der DIN EN 50600

Ein wesentliches Differenzierungsmerkmal der Verfügbarkeitsklasse 4 nach DIN EN 50600 gegenüber anderen Klassifikationsmodellen besteht in der integralen Bewertung von Verfügbarkeit, Schutzklassen und Energieeffizienz. Maßgeblich ist hierbei ein konsequent ganzheitlicher holistischer Ansatz.

Hochverfügbarkeit wird nicht anhand isolierter Einzelkomponenten beurteilt, sondern ausschließlich auf Basis des abgestimmten Zusammenwirkens sämtlicher infrastruktureller Schutz-, Versorgungs- und Betriebsstrukturen. Erst wenn diese Ebenen systemisch ineinandergreifen und gegenseitig wirksam absichern, gilt das angestrebte Resilienzniveau als erreicht.

Ein Rechenzentrum kann daher nicht als hochverfügbar eingestuft werden, wenn zwar eine redundante Stromversorgung vorhanden ist, zugleich jedoch physische Sicherheitsdefizite bestehen oder bauliche und brandschutztechnische Maßnahmen ein Übergreifen von Schadensereignissen zwischen Bereichen nicht wirksam verhindern. Die Norm gliedert sich in:

  • EN 50600-1: Allgemeine Konzepte und Risikoanalyse.
  • EN 50600-2-X: Physische Infrastruktur (Bau, Strom, Klima, Verkabelung, Sicherheit).
  • EN 50600-3-X: Betrieb und Management.
  • EN 50600-4-X: Key Performance Indicators (KPIs) wie PUE, REF, ERF.

Die Verfügbarkeitsklasse 4 nach DIN EN 50600 wirkt sich auf alle Teile der EN 50600-2-X aus. Es reicht nicht, nur die Stromversorgung (Teil 2-2) redundant auszulegen, auch die Gebäudekonstruktion (Teil 2-1) und die Klimatisierung (Teil 2-3) müssen die Anforderungen der Fehlertoleranz widerspiegeln.

Definition und Philosophie der Verfügbarkeitsklasse 4 nach DIN EN 50600
Definition und Philosophie der Verfügbarkeitsklasse 4 nach DIN EN 50600

2. Definition und Philosophie der Verfügbarkeitsklasse 4 nach DIN EN 50600

2.1 Die vier Klassen der Verfügbarkeit

Die Norm definiert vier Verfügbarkeitsklassen, die aufsteigende Grade der Resilienz darstellen. Um die Signifikanz der Verfügbarkeitsklasse 4 nach DIN EN 50600 zu verstehen, ist ein Vergleich notwendig:

  • Klasse 1: Basisinfrastruktur ohne Redundanz. Ein einziger Fehler oder eine Wartung führt zum Ausfall.
  • Klasse 2: Infrastruktur mit Teilredundanzen. Wartungen können teilweise im laufenden Betrieb erfolgen, Fehler führen jedoch oft zum Ausfall.
  • Klasse 3: Instandhaltung im laufenden Betrieb (Concurrent Maintainability). Durch redundante Komponenten kann jedes einzelne Systemteil gewartet oder ausgetauscht werden, ohne den laufenden Betrieb zu unterbrechen. Eine grundsätzliche Fehlerresistenz ist damit gewährleistet. Allerdings kann ein einzelner Störfall das System vorübergehend in einen Zustand reduzierter Redundanz versetzen, sodass ein weiterer Fehler in dieser Phase zu einem Ausfall führen kann.
  • Klasse 4: Fehlertolerante Infrastruktur (Fault Tolerance). Dieses Prinzip kennzeichnet die Verfügbarkeitsklasse 4 nach DIN EN 50600. Das System verfügt über mehrere gleichzeitig aktive und voneinander unabhängige Versorgungspfade. Ein einzelner Fehler, unabhängig davon, ob technischer oder menschlicher Ursache, darf zu keiner Unterbrechung der IT-Dienstleistung führen. Voraussetzung hierfür ist, dass das Gesamtsystem Störungen automatisch erkennt, betroffene Komponenten isoliert und den Betrieb ohne Beeinträchtigung fortführt.

2.2 Das Prinzip der Fehlertoleranz

Die Kernforderung der Verfügbarkeitsklasse 4 nach DIN EN 50600 ist die Eliminierung jedes Single Point of Failure (SPOF). In der Praxis bedeutet dies, dass die Planung vom „Worst Case“ ausgehen muss. Was passiert, wenn die Hauptverteilung A brennt? Was passiert, wenn der Rückkühler B einfriert? In einem Design der Klasse 4 muss die Antwort immer lauten: „Der Betrieb läuft auf dem verbleibenden Pfad uneingeschränkt weiter.“

Dies erfordert eine Systemredundanz (z. B. 2N), die weit über die Komponentenredundanz (N+1) der Klasse 3 hinausgeht. Während bei N+1 eine zusätzliche USV auf dieselbe Sammelschiene speist, existieren bei der Verfügbarkeitsklasse 4 nach DIN EN 50600 zwei vollständig getrennte Systeme (System A und System B), die sich im Idealfall physisch nie berühren, bis sie am Netzteil des Servers zusammentreffen.

Verfügbarkeitsklasse 4 nach DIN EN 50600: Elektrotechnische Strukturen
Verfügbarkeitsklasse 4 nach DIN EN 50600: Elektrotechnische Strukturen

3. Elektrotechnische Struktur der Verfügbarkeitsklasse 4

Die elektrische Energieversorgung ist das Rückgrat jedes Rechenzentrums. Für die Verfügbarkeitsklasse 4 nach DIN EN 50600 gelten hier die stringentesten Anforderungen der Norm (EN 50600-2-2).

3.1 Netzanschlussebene und Mittelspannung

Die Fehlertoleranz beginnt bereits auf Ebene des Netzanschlusses. Ein Rechenzentrum der Verfügbarkeitsklasse 4 nach DIN EN 50600 sollte idealerweise über zwei voneinander unabhängige Umspannwerke des Energieversorgers versorgt werden. Ist dies, wie in der Praxis häufig nicht umsetzbar, gewinnt die Eigenstromerzeugung (vgl. Abschnitt 4) eine zentrale Bedeutung innerhalb der Redundanzstrategie.

Dennoch wird auch bei der Netzeinspeisung auf Pfadtrennung geachtet:

  • Zwei getrennte Mittelspannungsringeinspeisungen.
  • Räumlich getrennte Übergabestationen (oder zumindest F90-geschottete Trafoboxen), um zu verhindern, dass ein Trafobrand die gesamte Einspeisung gefährdet.

3.2 Die 2N-Topologie als Standard

Für Rechenzentren der Verfügbarkeitsklasse 4 nach DIN EN 50600 gilt die 2N-Topologie („System + System“) als De-facto-Standard. Dabei werden sämtliche kritischen Versorgungssysteme vollständig redundant und unabhängig voneinander ausgeführt, sodass jeder Versorgungsstrang die Gesamtlast eigenständig tragen kann.

Das bedeutet, dass das gesamte Rechenzentrum elektrisch in zwei Hälften geteilt ist: Pfad A und Pfad B.

  • Pfad A: Trafo A -> NSHV A -> USV A -> UV A -> PDU A (im Rack).
  • Pfad B: Trafo B -> NSHV B -> USV B -> UV B -> PDU B (im Rack).

Im Normalbetrieb sind beide Versorgungspfade aktiv und teilen sich die Last, beispielsweise im Verhältnis 50 % zu 50 % (Load Sharing). Fällt einer der Pfade vollständig aus, etwa infolge von Wartungsarbeiten, eines Brandereignisses oder der Auslösung eines Leistungsschalters übernimmt der verbleibende Pfad die Versorgung unmittelbar und unterbrechungsfrei zu 100 %. Da jeder Pfad für die vollständige Nennlast ausgelegt ist („N“), entsteht dabei keine Überlastsituation. Diese vollständige Spiegelung der Infrastruktur ist zwar kostenintensiv, stellt jedoch die einzige belastbare Methode dar, um echte Fehlertoleranz im Sinne der Verfügbarkeitsklasse 4 nach DIN EN 50600 sicherzustellen.

3.3 Schutztechnische Selektivität und Kurzschlussfestigkeit

Ein in der Praxis häufig unterschätzter, jedoch entscheidender Faktor für die tatsächliche Fehlertoleranz ist die korrekte Selektivität der Schutzorgane. In einer Infrastruktur der Verfügbarkeitsklasse 4 nach DIN EN 50600 muss sichergestellt sein, dass ein lokaler Fehler, etwa ein Kurzschluss in einem einzelnen Servernetzteil ausschließlich durch das dafür vorgesehene nachgelagerte Schutzorgan abgeschaltet wird. Keinesfalls darf ein solcher Einzeldefekt dazu führen, dass übergeordnete Schutzeinrichtungen wie Abgangssicherungen, Unterverteilungen oder gar die USV-Anlage auslösen, da dies dem Grundprinzip der Systemfehlertoleranz widersprechen und die geforderte Hochverfügbarkeit gefährden würde.

  • Anforderung: Der Fehler ist unmittelbar an seinem Entstehungsort zu lokalisieren und abzuschalten, im Regelfall auf Rack-Ebene. Eine Ausbreitung der Abschaltung auf übergeordnete Versorgungsebenen darf nicht erfolgen, da dies dem Selektivitätsprinzip widerspricht und die geforderte Fehlertoleranz gemäß den Anforderungen hochverfügbarer Infrastrukturen beeinträchtigen würde.
  • Herausforderung: Da in 2N-Systemen die Pfade oft nur zu 30-40% ausgelastet sind, sind die Kurzschlussströme eventuell geringer als bei Volllast, was die Auslösung der Schutzorgane verzögern könnte. Die Planung muss daher peinlich genau sicherstellen, dass auch im Teillastbetrieb oder im Batteriebetrieb der USV genügend Kurzschlussstrom zur Verfügung steht, um die Sicherungen selektiv auszulösen („Freischaltbedingung“).

4. Netzersatzaggregate (NEA) im Kontext der Verfügbarkeitsklasse 4

Da das öffentliche Versorgungsnetz systembedingt nicht die für die Verfügbarkeitsklasse 4 nach DIN EN 50600 geforderte Verfügbarkeit von ≥ 99,995 % gewährleisten kann, ist eine autarke Eigenstromversorgung zwingend erforderlich. Diese wird in der Praxis regelmäßig durch Dieselgeneratoranlagen realisiert, alternativ durch technisch gleichwertige Systeme wie Gasturbinen oder Brennstoffzellen, sofern diese die geforderte Ausfallsicherheit, Lastübernahmefähigkeit und Betriebsdauer nachweislich erfüllen.

4.1 Redundanzkonzept der NEA: 2N vs. N+1

Die Norm erlaubt Interpretationsspielraum, aber die strengste Auslegung der Verfügbarkeitsklasse 4 nach DIN EN 50600 verlangt auch auf der Erzeugerebene eine Systemredundanz.

  • Konfiguration: Ein Generator (oder eine Generatorengruppe) für Pfad A und ein unabhängiger Generator (oder Gruppe) für Pfad B.
  • Startlogik: Bei Netzverlust erhalten beide NEA-Systeme den Startbefehl. USV A wird von NEA A gespeist, USV B von NEA B.
  • Fehlertoleranz: Sollte NEA A nicht starten (Startversager), läuft das RZ über USV A auf Batterie, bis diese leer ist. Gleichzeitig versorgt NEA B den Pfad B dauerhaft weiter. Da die IT-Systeme Netzteile an beiden Pfaden haben, führt das Abschalten von Pfad A (nach Batterieende) nicht zum Serviceausfall.

Eine bloße N+1-Konfiguration auf einer gemeinsamen Sammelschiene, etwa mehrere Generatoren, die parallel auf eine zentrale Schiene synchronisiert sind und gemeinsam die Gesamtlast tragen, wird unter Hochverfügbarkeitsgesichtspunkten häufig kritisch bewertet. Grund hierfür ist, dass die erforderliche Synchronisations- und Parallelschaltanlage selbst einen potenziellen Single Point of Failure darstellt. Für Infrastrukturen der Verfügbarkeitsklasse 4 nach DIN EN 50600 werden daher bevorzugt galvanisch getrennte Netzersatzanlagen-Systeme vorgesehen, die unabhängig voneinander betrieben werden und keine gegenseitige Synchronisation benötigen, um die geforderte Fehlertoleranz sicherzustellen.

4.2 Tankanlagen und Treibstoffmanagement

Die Versorgung mit Brennstoff ist ein kritischer Pfad. Ein verschmutzter Tank (Dieselpest) kann alle angeschlossenen Generatoren gleichzeitig lahmlegen.

  • Tank-Redundanz: Für die Verfügbarkeitsklasse 4 nach DIN EN 50600 müssen auch die Tankanlagen redundant ausgelegt sein. Ideal ist ein eigener Haupttank für NEA-System A und einer für NEA-System B.
  • Fuel Polishing: Um die Qualität des Diesels über Jahre zu sichern, sind automatische Reinigungsanlagen (Fuel Polishing Systems) vorzusehen, die Wasser und Sedimente filtern.
  • Pumpen: Die Förderpumpen vom Haupttank zum Tagestank müssen redundant und notstromberechtigt sein. Der Ausfall einer Pumpensteuerung darf nicht zum Stillstand der Anlage führen.

4.3 Autonomiezeit

Die DIN EN 50600 macht keine starren Vorgaben zur Autonomiezeit (z. B. „72 Stunden“), sondern verweist auf die Risikoanalyse. Für Standorte der Verfügbarkeitsklasse 4 nach DIN EN 50600 wird jedoch üblicherweise eine Autonomie von mindestens 48 bis 96 Stunden ohne Nachtanken gefordert, um auch bei katastrophalen externen Ereignissen (Großflächen-Blackout, blockierte Zufahrtswege) betriebsfähig zu bleiben.

Auslegung der USV-Systeme und Batteriespeicher
Auslegung der USV-Systeme und Batteriespeicher

5. Auslegung der USV-Systeme und Batteriespeicher

Die Unterbrechungsfreie Stromversorgung (USV) überbrückt die Zeit zwischen Netzumschaltungen und dem Hochlauf der NEA. Sie konditioniert zudem die Spannung (VFI-Prinzip).

5.1 VFI-SS-111 und Doppelwandler-Technologie

Für die Verfügbarkeitsklasse 4 nach DIN EN 50600 kommen fast ausschließlich Online-Doppelwandler-Anlagen (VFI-SS-111 nach IEC 62040-3) zum Einsatz. Diese entkoppeln die Last vollständig vom Netz und schützen vor Frequenz- und Spannungsschwankungen.

  • Modulare vs. Monolithische USV: In modernen Infrastrukturen der Verfügbarkeitsklasse 4 nach DIN EN 50600 kommen zunehmend modulare USV-Systeme zum Einsatz. Diese ermöglichen es, innerhalb eines einzelnen Versorgungspfades (beispielsweise Pfad A) zusätzliche interne Redundanzen etwa in Form einer n+1-Modularchitektur zu realisieren. Dadurch wird die Verfügbarkeit des jeweiligen Pfades weiter erhöht. Für die formale Erfüllung der Anforderungen der Verfügbarkeitsklasse 4, die primär auf der vollständigen Redundanz zwischen unabhängigen Pfaden (A/B) basiert, ist eine solche interne Modulredundanz jedoch nicht zwingend vorgeschrieben, wird in der Fachpraxis aber als bewährte und empfehlenswerte Auslegung angesehen.

5.2 Das Problem der Teillasteffizienz

Ein systemimmanenter Nachteil der 2N-Architektur gemäß Verfügbarkeitsklasse 4 nach DIN EN 50600 ist die vergleichsweise geringe Betriebsauslastung. Da sowohl Pfad A als auch Pfad B jeweils für die vollständige Versorgungslast ausgelegt sind, wird im regulären Parallelbetrieb typischerweise nur etwa die Hälfte der installierten Leistung je Pfad genutzt. In der Praxis fällt die tatsächliche Auslastung häufig noch deutlich niedriger aus, weil Rechenzentren selten vollständig ausgelastet sind. Reale Lastwerte liegen daher nicht selten lediglich im Bereich von etwa 10 % bis 20 % der installierten Gesamtkapazität.

  • Herausforderung: Ältere USV-Systeme haben bei <20% Last einen schlechten Wirkungsgrad.
  • Lösung: Moderne USV-Anlagen bieten spezielle Eco-Modi oder intelligentes Modul-Management (Xtra VFI Mode), bei dem überschüssige Leistungsmodule in den Standby geschickt werden, um die aktiven Module in einem effizienteren Arbeitspunkt zu halten. Dies ist essenziell, um die Vorgaben der EN 50600-4-2 (PUE) und die Granularitätsniveaus der Energiemessung sinnvoll zu nutzen.

5.3 Batterie-Technologien: Blei vs. Lithium-Ionen

Die Wahl der Batterie hat Einfluss auf die Sicherheit und Raumplanung.

  • VRLA-Batterien (Blei-Vlies): Diese Technologie gilt als bewährt und wirtschaftlich, ist jedoch vergleichsweise schwer und benötigt viel Platz. Ein kritischer Punkt besteht darin, dass der Ausfall einer einzelnen Zelle etwa durch Unterbrechung („Open Circuit“), den gesamten Batteriezweig außer Betrieb setzen kann. Aus diesem Grund werden in Systemen der Verfügbarkeitsklasse 4 redundante Batteriestränge je USV-Anlage als Stand der Technik vorgesehen, um die Versorgungssicherheit auch bei Einzelkomponentenausfällen aufrechtzuerhalten.
  • Lithium-Ionen-Batterien: Sie zeichnen sich durch eine hohe Energiedichte und ein integriertes Batteriemanagementsystem (BMS) aus. Dieses ermöglicht eine sehr präzise Überwachung und Steuerung, erhöht jedoch zugleich die Systemkomplexität: Erkennt das BMS beispielsweise eine Übertemperatur, kann es den betroffenen Batteriezweig automatisch abschalten, wodurch die betreffende Energiequelle schlagartig nicht mehr zur Verfügung steht. Aufgrund ihrer erhöhten Brandlast sind Lithium-Ionen-Systeme in Konzepten der Verfügbarkeitsklasse 4 mit strengen baulichen Trennmaßnahmen zu planen. Insbesondere müssen die redundanten Versorgungspfade A und B in getrennten, feuerbeständigen Brandabschnitten (z. B. F90) untergebracht werden, um eine thermische Kettenreaktion („Thermal Runaway“) sicher zu verhindern.

6. Verteilungen und Endstromkreise

Die Kette der Redundanz darf nicht vor dem Verbraucher abreißen.

6.1 Stromschienen vs. Kabel

Für die Energieübertragung von der Niederspannungshauptverteilung zu den IT-Flächen kommen zunehmend Schienenverteilersysteme (Busbars) zum Einsatz.

  • Vorteil: Diese bieten eine hohe betriebliche Flexibilität, da Abgangskästen auch während des laufenden Betriebs versetzt oder ergänzt werden können und damit Wartungs- und Anpassungsmaßnahmen ohne Unterbrechung unterstützen. Zusätzlich ist die Brandlast gegenüber konventionellen Kabelinstallationen in der Regel geringer, da umfangreiche Kabelbündel mit brennbaren Mantelmaterialien entfallen.
  • Redundanz: Im Kontext der Verfügbarkeitsklasse 4 nach DIN EN 50600 werden solche Systeme grundsätzlich redundant ausgeführt: Über den IT-Racks verlaufen zwei vollständig getrennte Stromschienenstränge (A- und B-Schiene), die unabhängig voneinander betrieben werden und so sicherstellen, dass der Ausfall eines Pfades die Versorgung der IT-Lasten nicht beeinträchtigt.

6.2 Rack-Versorgung (A/B-Feed)

Im Rack befinden sich zwei Power Distribution Units (PDUs): PDU A und PDU B.

  • Farbkodierung: Zur Vermeidung menschlicher Fehler, die häufigste Ausfallursache in redundanten Systemen, ist eine strikte Farbkodierung zwingend (z. B. Pfad A = Blau, Pfad B = Rot). Dies gilt von der NSHV über die Kabel bis zur Steckdose.
  • Single Corded Equipment: Geräte mit nur einem Netzteil (Single Corded) stellen in einer Umgebung der Verfügbarkeitsklasse 4 nach DIN EN 50600 ein Problem dar. Sie müssen über automatische Transferschalter (ATS) im Rack versorgt werden, die bei Ausfall von Pfad A auf Pfad B umschalten. Hierbei ist die Synchronisation der beiden Pfade kritisch, da ein phasenverschobenes Umschalten das Netzteil zerstören kann.
Brandschutz in der Verfügbarkeitsklasse 4 nach DIN EN 50600
Brandschutz in der Verfügbarkeitsklasse 4 nach DIN EN 50600

7. Brandschutz in der Verfügbarkeitsklasse 4

Die DIN EN 50600-2-5 definiert die Anforderungen an Sicherungssysteme. Der Brandschutz ist hierbei der kritischste Partner der Verfügbarkeit.

7.1 Interdependenz von Verfügbarkeits- und Schutzklassen

Die Norm definiert vier Schutzklassen zur Bewertung des physischen Sicherheitsniveaus. Für ein Rechenzentrum der Verfügbarkeitsklasse 4 nach DIN EN 50600 ist in technischen Funktionsbereichen grundsätzlich mindestens Schutzklasse 3, häufig jedoch Schutzklasse 4 erforderlich, da nur diese Stufen ein Sicherheitsniveau gewährleisten, das dem hohen Verfügbarkeitsanspruch und dem Schutz kritischer Infrastrukturkomponenten angemessen ist.

  • Zonierung: Die redundanten Versorgungspfade (A und B) müssen in getrennten Brandabschnitten (Compartments) untergebracht sein.
  • Beispiel: USV A steht in Brandabschnitt 1, USV B in Brandabschnitt 2. Beide Abschnitte müssen feuerbeständig (z. B. F90 nach DIN 4102 / EN 13501) voneinander getrennt sein. Das bedeutet auch getrennte Kabelschächte und Schottungen. Ein Feuer in USV-Raum A darf unter keinen Umständen Rauch oder Hitze in USV-Raum B übertragen.

7.2 Brandfrühesterkennung (RAS)

In hochverfügbaren Umgebungen ist Zeit der entscheidende Faktor. Ansaugrauchmeldesysteme (RAS) sind Standard. Sie detektieren Pyrolysepartikel lange vor der Entstehung sichtbaren Rauchs oder offener Flammen.

  • Integration: In der Verfügbarkeitsklasse 4 nach DIN EN 50600 ist die RAS-Anlage so verschaltet, dass sie einen Voralarm an das Leitsystem sendet, damit Techniker eingreifen können, bevor die automatische Löschanlage auslöst.

7.3 Löschsysteme und Hard-Shutdown-Logik

Automatische Gaslöschanlagen (Novec 1230, Inergen, Argon) sind effektiv, bergen aber Risiken für die Verfügbarkeit.

  • Schalldruck: Beim Ausströmen von Löschgas entstehen sehr hohe Schalldruckpegel und Druckstöße, die empfindliche IT-Hardware, insbesondere mechanische Festplatten  durch Vibrationen oder Resonanzeffekte beschädigen können. In Rechenzentren der Verfügbarkeitsklasse 4 sind daher schallreduzierende Ausblas- bzw. Schalldämpferdüsen erforderlich, um die akustische Belastung während einer Löschgasentladung auf ein für die Betriebstechnik unschädliches Niveau zu begrenzen.
  • Abschaltung (EPO): Die größte systemische Gefährdung für ein Rechenzentrum der Verfügbarkeitsklasse 4 liegt häufig in einer unzureichend konzipierten Not-Aus-Logik (EPO – Emergency Power Off). Werden Brandschutz- oder Löschanlagen so verschaltet, dass ihre Auslösung pauschal die gesamte Stromversorgung eines Raums abschaltet, kann dies dem Grundprinzip der Fehlertoleranz widersprechen. In einem 2N-Serverraum mit parallel vorhandenen Versorgungspfaden A und B darf beispielsweise ein Alarmereignis in Zone A keinesfalls zur Abschaltung von Pfad B führen. Die Steuerungsarchitektur muss daher hochgradig selektiv und zonenscharf ausgelegt sein – typischerweise über eine matrixartige Logikstruktur –, damit ein lokal begrenztes Ereignis nicht unbeabsichtigt einen vollständigen Versorgungsabbruch und damit einen
Vergleich: Tier-4-Standard vs. DIN EN 50600 VK4
Vergleich: Tier-4-Standard vs. DIN EN 50600 VK4

8. Vergleich: Tier-4-Standard vs. DIN EN 50600 VK4

Der Begriff „Tier 4“ wird oft synonym für höchste Verfügbarkeit verwendet, bezieht sich aber strikt auf den Standard des Uptime Institute. Ein detaillierter Vergleich offenbart wichtige Nuancen.

MerkmalUptime Institute Tier IVDIN EN 50600 Verfügbarkeitsklasse 4
Primärer FokusTechnische Topologie (Strom/Klima). Performance-basiert.Holistischer Ansatz (Bau, Sicherheit, Betrieb, Technik). Risiko-basiert.
FehlertoleranzZwingend. Ein Fehler darf keine Auswirkung auf die IT haben.Zwingend. „Fehlertolerant, außer während der Wartung“ (Normtext, in der Praxis oft auch während Wartung gefordert).
Continuous CoolingZwingend. Kältespeicher für Überbrückung der Generator-Anlaufzeit erforderlich.Zwingend. Umweltbedingungen müssen permanent innerhalb der Grenzwerte bleiben.
CompartmentalizationStrenge physische Trennung (Complementary Systems).Fordert Brandabschnitte basierend auf Schutzklassen und Risikoanalyse.
ZertifizierungNur durch Uptime Institute. Design & Facility Certification.Durch verschiedene Auditoren (TÜV, DEKRA, etc.) möglich.
EnergieeffizienzSekundär. Fokus liegt auf Uptime.Integriert. Granularitätsniveaus der Messung sind Teil der Norm.
FlexibilitätEher starr („Prescriptive“).Flexibel durch Matrix aus Verfügbarkeits- und Schutzklassen.

Analyse: Die Verfügbarkeitsklasse 4 nach DIN EN 50600 ist anpassungsfähiger an europäische Gegebenheiten (z. B. Bestandsgebäude). Während Tier IV oft Neubauten (Greenfield) voraussetzt, um die strikte physische Trennung zu realisieren, erlaubt die EN 50600 durch Kompensationsmaßnahmen (z. B. höhere Schutzklasse der Wände, redundante Überwachung) auch Lösungen im Bestand, solange das Ziel der Fehlertoleranz erreicht wird.

Die Erweiterung 2N+1: Maximierung der Resilienz
Die Erweiterung 2N+1: Maximierung der Resilienz

9. Die Erweiterung 2N+1: Maximierung der Resilienz

Die reine 2N-Topologie der Verfügbarkeitsklasse 4 nach DIN EN 50600 hat eine theoretische Schwachstelle: Während der Wartung eines Pfades (z. B. Pfad A wird abgeschaltet) läuft das RZ nur noch auf Pfad B (N-Betrieb). In diesem Zeitfenster ist das System anfällig. Ein Fehler auf Pfad B führt zum Ausfall. Das System ist während der Wartung nicht mehr fehlertolerant.

9.1 Das Konzept 2N+1 (oder Dual N+1)

Um dieses Restrisiko zu eliminieren, wird oft die Anforderung „2N+1“ gestellt. Hierbei hat jedes der beiden Systeme (A und B) intern eine Redundanz.

  • Struktur:
    • System A: Besteht aus 3 USV-Modulen (2 für Last, 1 Reserve).
    • System B: Besteht aus 3 USV-Modulen (2 für Last, 1 Reserve).
  • Wartungsszenario: Ein Modul in System A muss gewartet werden. Dank der internen +1 Redundanz bleibt System A voll lastfähig und geschützt. System B bleibt ohnehin unberührt.
  • Vorteil: Die Fehlertoleranz bleibt auch während der Wartung einzelner Komponenten vollständig erhalten.
  • Nachteil: Enorme Investitionskosten (CAPEX) und höhere Wartungskosten (OPEX).

Für ein Rechenzentrum der Verfügbarkeitsklasse 4 nach DIN EN 50600 ist eine 2N+1-Architektur normativ nicht zwingend vorgeschrieben. In besonders kritischen Anwendungsfeldern, etwa in KRITIS-Umgebungen oder im Finanzsektor, gilt sie jedoch als anerkannte Best-Practice-Auslegung. Der Grund liegt darin, dass diese zusätzliche Redundanzreserve das Ausfallrisiko während Wartungs- oder Prüfphasen weiter reduziert. Selbst wenn ein kompletter Versorgungspfad planmäßig außer Betrieb genommen wird und gleichzeitig eine Störung im verbleibenden Pfad auftritt, bleibt durch die +1-Reserve die Versorgungssicherheit gewahrt. Dadurch erhöht sich die operative Resilienz über das Mindestniveau der Norm hinaus.

10. Klimatisierung: Das thermische Gleichgewicht in VK4

Die DIN EN 50600-2-3 regelt die Anforderungen an die Umgebungsbedingungen in Rechenzentren. In Anlagen der Verfügbarkeitsklasse 4 nach DIN EN 50600 kommt der Kälteversorgung dabei dieselbe Kritikalität zu wie der elektrischen Energieversorgung, da beide Systeme unmittelbar für den stabilen IT-Betrieb erforderlich sind.

10.1 Kontinuierliche Kühlung

Besonders relevant ist das Prinzip der kontinuierlichen Kühlung (Continuous Cooling). Hochleistungsserver besitzen eine sehr hohe Leistungsdichte und damit eine entsprechend hohe Wärmeabgabe. Fällt die Kühlung aus, steigt die Temperatur innerhalb weniger Sekunden stark an, sodass ohne sofort wirksame Gegenmaßnahmen eine automatische Abschaltung oder sogar Hardwareschäden drohen.

  • Anforderung: Entsprechend müssen Kühlsysteme in dieser Klasse redundant, fehlertolerant und unterbrechungsfrei verfügbar ausgelegt sein.
  • Umsetzung: Hierfür sind thermische Energiespeicher, typischerweise Puffertanks im Kaltwasserkreislauf vorzusehen. Sie überbrücken die Zeitspanne zwischen Netzausfall und Wiederanlauf der Kälteerzeuger nach Start der Netzersatzanlage, die erfahrungsgemäß etwa 3–5 Minuten beträgt. Dadurch bleibt die Wärmeabfuhr aus den IT-Lasten auch während der Umschaltphase gewährleistet.
  • USV-gestützte Fördertechnik: Die Umwälzpumpen des Kaltwassersystems sowie die Ventilatoren der Umluft- bzw. Klimageräte müssen unterbrechungsfrei versorgt werden. Bereits ein kurzzeitiger Stillstand der Pumpen führt zum Abbruch des Kälteflusses und damit zu einem unmittelbaren thermischen Risiko für die IT-Systeme. Entsprechend sind diese Komponenten zwingend an die USV-Versorgung anzubinden.

10.2 Rohrleitungsnetze

Die Verfügbarkeitsklasse 4 nach DIN EN 50600 verlangt redundante Rohrleitungswege.

  • Ringtopologie: Ein Ringleitungssystem mit Schiebern ermöglicht es, jedes Teilstück des Rohrsystems für Reparaturen (z. B. Leckage) außer Betrieb zu nehmen, während das Wasser über den anderen Teil des Rings zu den Klimaschränken fließt.
  • Physische Trennung: Vor- und Rücklauf sollten so verlegt werden, dass eine mechanische Beschädigung nicht beide redundanten Ringe gleichzeitig trifft.
Betriebsprozesse und Management (EN 50600-3-1)
Betriebsprozesse und Management (EN 50600-3-1)

11. Betriebsprozesse und Management (EN 50600-3-1)

Die beste Hardware nützt nichts ohne korrekte Bedienung. Die Verfügbarkeitsklasse 4 nach DIN EN 50600 erfordert Prozesse, die der technischen Komplexität gewachsen sind.

11.1 Wartung im laufenden Betrieb

Der operative Standard muss sicherstellen, dass Wartungen niemals „ad hoc“ geschehen. Jede Umschaltung in einem 2N-System birgt das Risiko von Lastabwürfen durch Fehlbedienung.

  • Method of Procedure (MOP): Für jeden Eingriff muss ein detaillierter Schritt-für-Schritt-Plan (MOP) existieren, der vom Vier-Augen-Prinzip geprüft wurde.
  • Schulung: Das Personal muss speziell auf die Fehlertoleranz-Logik geschult sein. Ein häufiger Fehler ist, dass Techniker versuchen, einen ausgefallenen Pfad manuell zu „retten“ und dabei versehentlich den gesunden Pfad kompromittieren.

11.2 Monitoring und DCIM

Ein RZ der Verfügbarkeitsklasse 4 nach DIN EN 50600 benötigt ein umfassendes Data Center Infrastructure Management (DCIM) System.

  • Überwachung: Nicht nur der vollständige Ausfall eines Systems ist meldepflichtig, sondern bereits der Verlust der Redundanz. Der Betriebszustand „System läuft ausschließlich auf Pfad B“ stellt keinen regulären Betrieb dar, sondern ist als kritischer Alarmzustand zu bewerten. In diesem Moment ist die Fehlertoleranz aufgehoben, sodass jeder weitere Fehler unmittelbar zu einer Unterbrechung führen kann. Entsprechend ist ein solcher Zustand unverzüglich zu analysieren und durch geeignete Maßnahmen zu beheben, um die vorgesehene Redundanzstruktur wiederherzustellen.

12. Fazit: Strategische Bedeutung und Ausblick

Die Implementierung der Verfügbarkeitsklasse 4 nach DIN EN 50600 stellt die höchste technologische Entwicklungsstufe für moderne Rechenzentren dar. Sie ist weit mehr als eine bloße Anforderung an die Hardware-Redundanz, sie ist eine strategische Investition in die digitale Resilienz eines Unternehmens, die Betriebsunterbrechungen effektiv minimiert und den Geschäftsbetrieb gegen unvorhersehbare technische Ausfälle absichert. Durch die konsequente Eliminierung jedes Single Point of Failure (SPOF) und die physische Trennung der Versorgungspfade schafft die Norm ein Schutzniveau, das insbesondere für Branchen wie das Finanzwesen, das Gesundheitswesen und Betreiber kritischer Infrastrukturen (KRITIS) unverzichtbar ist.   

Die Analyse verdeutlicht, dass echte Fehlertoleranz nur durch das harmonisierte Zusammenspiel von elektrotechnischer Struktur, redundanten Netzersatzanlagen (NEA) und hochverfügbaren USV-Systemen in 2N-Konfiguration erreicht werden kann. Während der internationale Vergleich zeigt, dass die DIN EN 50600 durch ihren ganzheitlichen, risiko-basierten Ansatz eine hohe Flexibilität für europäische Planer bietet, bleibt die Erweiterung auf 2N+1 das ultimative Ziel für maximale Sicherheit, da sie die Fehlertoleranz auch während kritischer Wartungsfenster aufrechterhält.

In einer zunehmend datengetriebenen Welt ist die Einhaltung der Verfügbarkeitsklasse 4 nach DIN EN 50600 nicht nur ein technisches Qualitätsmerkmal, sondern ein entscheidender Wettbewerbsvorteil und eine notwendige Antwort auf die steigenden regulatorischen Anforderungen an die IT-Sicherheit und Kontinuität.

13. FAQs: Häufige Fragen zur Umsetzung

Ist die Verfügbarkeitsklasse 4 nach DIN EN 50600 gesetzlich vorgeschrieben?

Nein, die Norm ist grundsätzlich freiwillig. Allerdings kann sie durch vertragliche Vereinbarungen (SLAs) oder branchenspezifische Regularien (z. B. BSI-KritisV, BAIT/VAIT im Finanzsektor) faktisch verbindlich werden. Für KRITIS-Betreiber ist sie oft der Maßstab für den „Stand der Technik“.

Kann ich ein bestehendes Rechenzentrum auf Verfügbarkeitsklasse 4 aufrüsten?

Das ist technisch extrem schwierig und oft unwirtschaftlich. Die Verfügbarkeitsklasse 4 nach DIN EN 50600 erfordert bauliche Trennungen (Brandabschnitte, getrennte Trassenwege), die in Bestandsgebäuden oft nicht nachträglich eingezogen werden können, ohne den laufenden Betrieb massiv zu gefährden oder die Statik zu überlasten. Meist ist dies nur bei einer Kernsanierung oder einem Neubau sinnvoll realisierbar.

Wie verhält sich die Norm zu regenerativen Energien?

Die EN 50600-4-3 (Renewable Energy Factor) fördert die Nutzung erneuerbarer Energien. Für die Verfügbarkeitsklasse 4 nach DIN EN 50600 ist die Quelle der Energie (Sonne, Wind) weniger relevant als ihre Zuverlässigkeit. Da Wind und Sonne volatil sind, können sie die Netzersatzanlage (Diesel/H2) für die Sicherheitsstromversorgung in der Regel nicht ersetzen, sondern nur ergänzen.

Reicht eine Ringeinspeisung des Energieversorgers für VK4?

Eine Ringeinspeisung auf Mittelspannungsebene ist gut, gilt aber normativ oft nur als eine Quelle (Single Point of Failure beim Versorger-Umspannwerk). Echte VK4 erfordert idealerweise zwei unabhängige Einspeisungen von zwei verschiedenen Umspannwerken. Da dies oft nicht möglich ist, wird die Fehlertoleranz primär durch die redundante Eigenstromerzeugung (NEA) im RZ sichergestellt.

Was kostet ein RZ der Verfügbarkeitsklasse 4 im Vergleich zu Klasse 3?

Die Kosten für die Verfügbarkeitsklasse 4 nach DIN EN 50600 liegen typischerweise ca. 80-100% über denen der Klasse 3. Der Grund ist die Verdoppelung der teuren Infrastrukturkomponenten (Trafos, NEA, USV, Kältemaschinen) sowie der deutlich erhöhte Platzbedarf (doppelte Technikräume), der die nutzbare IT-Fläche reduziert.

Wie oft muss die Fehlertoleranz getestet werden?

Regelmäßige Funktions- und Belastungstests sind für den Erhalt der vorgesehenen Betriebssicherheit unverzichtbar. Hierzu zählen insbesondere monatliche Lastprobeläufe der Netzersatzanlagen sowie jährlich durchgeführte Schwarztests (Black-Building-Tests), bei denen die externe Netzeinspeisung bewusst real abgeschaltet wird, um das koordinierte Zusammenspiel sämtlicher redundanter Systeme unter Echtbedingungen zu überprüfen. Unterbleiben solche Prüfungen, verliert die nominelle Ausfallsicherheit der Verfügbarkeitsklasse 4 nach DIN EN 50600 rasch ihre praktische Aussagekraft, da potenzielle Schwachstellen unentdeckt bleiben.

14. Disclaimer

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt weder eine rechtliche noch eine ingenieurtechnische Beratung dar. Grundlage der Ausführungen ist eine Auswertung der Norm DIN EN 50600 sowie einschlägiger Fachliteratur zum Zeitpunkt der Erstellung. Da Normen und technische Regelwerke fortlaufend angepasst werden, können sich Anforderungen und Bewertungen jederzeit ändern.

Die praktische Umsetzung der dargestellten Konzepte, insbesondere im Kontext der Verfügbarkeitsklasse 4 nach DIN EN 50600 erfordert daher stets eine projektbezogene Prüfung und Freigabe durch qualifizierte Fachplaner sowie entsprechend akkreditierte Prüf- und Zertifizierungsstellen, beispielsweise autorisierte technische Überwachungsorganisationen. Eine Gewähr für Richtigkeit, Vollständigkeit und Aktualität der Inhalte wird nicht übernommen; ebenso ist eine Haftung für Schäden ausgeschlossen, die mittelbar oder unmittelbar aus der Anwendung der bereitgestellten Informationen entstehen. Planung und Realisierung von Rechenzentren müssen grundsätzlich unter Berücksichtigung der jeweils gültigen lokalen Vorschriften, behördlichen Anforderungen und objektspezifischen Risikoanalysen erfolgen.

NUTZUNG | HAFTUNG
Trotz sorgfältiger Kontrolle übernehmen wir keine Gewähr für die Richtigkeit und Vollständigkeit der Inhalte.

, , , , , , , , , , ,